iT邦幫忙

2021 iThome 鐵人賽

DAY 8
0
IT管理

用自組NAS亂玩unRaid系列 第 8

網路設備:路由器

5 路由器 (Router)

一種專門處理封包傳輸的設備,透過處理路徑位置來傳輸資料;主要工作在網路層
原理跟三層交換機大同小異,不同地方在於三層交換機主要用於高速區網之間的資料傳輸;而路由器主要處理多個網段之間的資料傳輸
因此路由器一般不會有多port(接口),而是擔任類似海關的角色:

大多家用實體路由器還會有閘道器負責處理不同協定(如:乙太網路,wifi…),這裡就不展開

  • ARP表

只要是運行在TCP/IP協定的設備或路由器裡都會有個ARP表,主要功能是透過每一次紀錄封包(網路層)的傳送資訊,如此一來被記錄過的路徑就可以快速把資料傳送到特定目標;內容會是設備的IP跟MAC
https://ithelp.ithome.com.tw/upload/images/20210913/20117399GMQNmKc3Qb.png

  • 有ARP資料
    現在路由器想傳送封包的B設備,就會先往路由器的ARP表做查詢,假如找到了B設備對應的IP跟MAC,就把資料傳輸到B設備
  • 無ARP資料
    但假如在路由器的ARP找不到的話,ARP就會發送封包各個設備的ARP地址,如A設備的ARP有B設備對應的資訊,就把資料傳輸到B設備並更新路由器的ARP

TIPS:ARP表也被稱為叫ARP快取,因為隔一段時間或資料達到上限時就會多餘的資料

  • 問題
    可能會遭遇ARP欺騙

ARP欺騙

現在A設備要傳送封包給B設備,理當會透過路由器代為傳送,結果現在被不知名的C設備在區網大量發送假的ARP請求,結果路由器回應了就把C設備(假的ARP資訊)寫入自己的ARP表,誤以為C設備的MAC地址為B設備的;造成了A設備傳送的封包被C設備擷取
此攻擊可能不限於區網,假如駭客從外網遠端入侵區網任何一台設備,也可透過ARP將資料送回外部Server

  • 防治

可透過路由器上的ARP列表進行綁定,這樣路由器就會永久保留該設備的ARP
而多層交換機上也可透過DHCP snooping保留網段上設備的MAC位址,這樣一旦偽造ARP發出時也可即時反查 (大部分路由器也有此功能


NAT 伺服器

可以看成一種代理IP的伺服器,NAT伺服器會負責在Internet跟區網之間當溝通的橋樑
以下解釋了如何工作:

假設現在區域網有192.168.0.34 , 192.168.0.35,192.168.0.155 ,真實外部IP為65.23.0.175
https://ithelp.ithome.com.tw/upload/images/20210913/20117399u6zVqh8gaR.png

  • 轉送封包
    現在a電腦想發出Internet上的請求,NAT 伺服器就會率先接收到此請求;再把192.168.0.34(a電腦)封包修改成65.23.0.175傳送到Internet,並在NAT上記錄這是由192.168.0.34(a電腦)發出的

  • 接收封包
    而現在Internet收到請求後發送相應的回應到NAT 伺服器,NAT 伺服器就會知道知道此回應應由a電腦接收,進而將封包傳給A電腦。

  • 此機制好處

可隱藏真實電腦的設備(UUID,MAC…)、內部IP資訊,增加連網的安全性;並且NAT 伺服器在回送封包同時,就已知目標電腦位置,如此一來也可以降低網路負載的壓力。

總結

使用路由器並不能負擔太多設備,多設備雖然不見得影響頻寬,但延遲也會增加 (主要是網路層效率較低 -> 還要轉譯、紀錄會有延遲)
但路由器在終端設備上擔任十分重大的角色,可以達到防火牆,網段管理,封包過濾等


上一篇
網路設備:交換機
下一篇
unRaid安裝+基本設置
系列文
用自組NAS亂玩unRaid31

尚未有邦友留言

立即登入留言